Leicht zu knacken: Gefährliche Lücken in Wahlsoftware
Hacker deckten auf, dass ein PC-Programm zur Übertragung von Wahlergebnissen bei der kommenden Wahl manipuliert werden kann.
In Deutschland wird bei der Wahl zwar im Vergleich zu den USA per Hand gewählt und gezählt, doch die ausgezählten Stimmen werden mit einem PC-Programm zusammengefasst und an den jeweiligen Wahlleiter übertragen. Tschirsich wollte das Programm „PC-Wahl“ aus Interesse auf Schwachstellen testen und stieß schnell auf grobe Sicherheitslücken. Die Software wird von allen Bundesländern am häufigsten verwendet.
Die Verschlüsselung des Programms konnte Tschirsich umgehen, weil er die meisten Passwörter einfach im Internet finden konnte, ein anderes lautete schlicht „test“ und war dadurch schnell geknackt. „Das ist keine richtige Verschlüsselung, sondern nur eine Maskierung“, sagt auch Linus Neumann vom CCC zu Zeit Online. Er verglich die Sicherheit des Programms mit einem Mietshaus, in dem zwar alle Wohnungen abgesperrt sind, aber überall der gleiche Schlüssel passt.
Das Programm hatte bisher kaum Sicherheitsmechanismen, weil die Kommunen nie danach gefragt hatten, wie der Entwickler von „PC-Wahl“, Volker Berninger erklärte. Auch eine umfassende Analyse des Programms habe es nie gegeben.
Es ist noch nicht klar, ob es gelingt, die Sicherheitslücken bis zur Wahl am 24. September zu schließen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) legte Vorschläge zur Verbesserung der Software vor. Der CCC meldete jedoch kurz darauf, dass auch die vorgenommenen Softwareverbesserungen bereits bei oberflächlichen Versuchen leicht zu knacken waren.
Amtliches Endergebnis nicht gefährdet
Was bedeutet das für die kommende Wahl? Bundeswahlleiter Dieter Sarreither gibt Entwarnung. Die Zwischenergebnisse seien zwar manipulierbar, was zwischenzeitlich zu Chaos führen könnte, doch das Endergebnis sei nicht gefährdet. Dem stimmt auch Informatiker Tschirsich zu.
In ihrer Analyse der Software forderte der CCC, dass bei den Wahlvorgängen nicht nur auf Schnelligkeit geachtet wird: „Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.“ Deshalb müsse die Softwareauswertung der Ergebnisse zwingend auch manuell überprüft werden.
Das ist auch der Notfallplan des Bundeswahlleiters: Die Ergebnisse der Stimmauszählungen am Wahlabend sollen im Zweifel auch „unabhängig von IT-Tools“ weitergegeben werden. Also über das gute alte Telefon.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Nordkoreas Soldaten in Russland
Kim Jong Un liefert Kanonenfutter
Bankkarten für Geflüchtete
Bezahlkarte – rassistisch oder smart?
Anschlag in Magdeburg
Der Täter hat sein Ziel erreicht: Angst verbreiten